Patchstackは7月27日(米国時間)、「Multiple Vulnerabilities in WordPress Ninja Forms Plugin - Patchstack」において、WordPressの人気プラグインである「Ninja Forms」に複数の深刻な脆弱性があることを伝えた。90万以上のサイトに影響を及ぼす重大な脆弱性とされており注意が必要。

  • Multiple Vulnerabilities in WordPress Ninja Forms Plugin - Patchstack

    Multiple Vulnerabilities in WordPress Ninja Forms Plugin - Patchstack

特定されている脆弱性は次のとおり。

  • CVE-2023-37979:POSTベースの反射型クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。未認証のユーザーが特権を昇格させたり情報を盗んだりする可能性がある
  • CVE-2023-38393:プラグインのフォーム投稿エクスポート機能におけるアクセス制御の不具合。WordPressサイトのSubscriberおよびContributorロールのユーザーがNinja Formsのすべての投稿をエクスポートできてしまう可能性がある
  • CVE-2023-38386:プラグインのフォーム投稿エクスポート機能におけるアクセス制御の不具合。WordPressサイトのSubscriberおよびContributorロールのユーザーがNinja Formsのすべての投稿をエクスポートできてしまう可能性がある

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • Ninja Forms バージョン3.6.25以下

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Ninja Forms バージョン3.6.26

Ninja FormsはWordPressで人気のあるフォームビルダープラグインとして知られている。単純なコンタクトフォームからイベント登録、ファイルアップロード、支払いなどあらゆるタイプのフォームを構築することができ、すでに90万を超えるアクティブインストールが確認されている。該当するプラグインを使用している場合は、問題が修正されたバージョンへアップデートすることが望まれる。